VPC 인터페이스 엔드포인트를 통해 노트북 인스턴스에 연결 - Amazon SageMaker
프라이빗 네트워크를 에 연결 VPC노트북 인스턴스에 대한 VPC SageMaker 엔드포인트 정책 생성내 에서 연결에 대한 액세스 제한 VPC

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

VPC 인터페이스 엔드포인트를 통해 노트북 인스턴스에 연결

퍼블릭 인터넷을 VPC 통해 연결하는 대신 Virtual Private Cloud(VPC)의 인터페이스 엔드포인트를 통해 에서 노트북 인스턴스에 연결할 수 있습니다. VPC 인터페이스 엔드포인트를 사용하면 VPC 와 노트북 인스턴스 간의 통신이 네트워크 내에서 AWS 완전하고 안전하게 수행됩니다.

SageMaker 노트북 인스턴스는 로 구동되는 Amazon Virtual Private Cloud(AmazonVPC) 인터페이스 엔드포인트를 지원합니다AWS PrivateLink. 각 VPC 엔드포인트는 VPC 서브넷에 프라이빗 IP 주소가 있는 하나 이상의 탄력적 네트워크 인터페이스로 표시됩니다.

참고

노트북 인스턴스에 연결할 인터페이스 VPC 엔드포인트를 생성하기 전에 에 연결할 인터페이스 VPC 엔드포인트를 생성합니다 SageMaker API. 이렇게 하면 사용자가 
CreatePresignedNotebookInstanceUrl 를 노트북 인스턴스URL에 연결하려면 해당 호출은 인터페이스 VPC 엔드포인트도 통과합니다. 자세한 내용은 SageMaker 내 에 연결 VPC을 참조하세요.

AWS Management Console 또는 AWS Command Line Interface (AWS CLI) 명령을 사용하여 노트북 인스턴스에 연결할 인터페이스 엔드포인트를 생성할 수 있습니다. 자세한 내용은 인터페이스 엔드포인트 생성을 참조하세요. 노트북 인스턴스에 연결VPC하려는 의 모든 서브넷에 대해 인터페이스 엔드포인트를 생성해야 합니다.

인터페이스 엔드포인트를 생성할 때 aws.sagemaker를 지정합니다.Region.notebook을 서비스 이름으로 사용합니다. VPC 엔드포인트를 생성한 후 VPC 엔드포인트DNS에 프라이빗을 활성화합니다. SageMaker API, AWS CLI또는 콘솔을 사용하여 내 에서 노트북 인스턴스에 연결하는 모든 사용자는 퍼블릭 인터넷 대신 VPC 엔드포인트를 통해 노트북 인스턴스에 VPC 연결합니다.

SageMaker 노트북 인스턴스SageMakerAmazonVPC과 를 모두 사용할 수 AWS 리전 있는 모든 에서 VPC 엔드포인트를 지원합니다.

를 통해 노트북 인스턴스에 연결하려면 내에 있는 인스턴스에서 연결VPC하거나 AWS Virtual Private Network (AWS VPN) 또는 를 사용하여 프라이빗 네트워크를 VPC에 연결VPC해야 합니다 AWS Direct Connect. 에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 연결을 AWS VPN참조하세요. VPN 에 대한 자세한 내용은 AWS Direct Connect 사용 설명서의 연결 생성을 AWS Direct Connect참조하세요. https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html

SageMaker 노트북 인스턴스에 대한 Amazon VPC 엔드포인트 정책을 생성하여 다음을 지정할 수 있습니다.

  • 작업을 수행할 수 있는 보안 주체.

  • 수행할 수 있는 작업.

  • 작업을 수행할 수 있는 리소스.

자세한 내용은 Amazon VPC 사용 설명서 VPC 엔드포인트를 사용하여 서비스에 대한 액세스 제어를 참조하세요.

VPC 엔드포인트 정책의 다음 예제에서는 엔드포인트에 액세스할 수 있는 모든 사용자가 라는 노트북 인스턴스에 액세스할 수 있도록 지정합니다myNotebookInstance.

{
  "Statement": [
      {
          "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
          "Principal": "*"
      }
  ]
}

다른 노트북 인스턴스에 대한 액세스가 거부되었습니다.

에서 인터페이스 엔드포인트를 설정하더라도 외부의 VPC개인은 인터넷을 통해 노트북 인스턴스에 연결할 VPC 수 있습니다.

중요

다음 중 하나와 유사한 IAM 정책을 적용하는 경우 사용자는 콘솔을 통해 지정된 SageMaker APIs 또는 노트북 인스턴스에 액세스할 수 없습니다.

내에서 의 연결에만 대한 액세스를 제한하려면 내에서 의 호출에만 대한 액세스를 제한하는 AWS Identity and Access Management 정책을 VPC생성합니다VPC. 그런 다음 노트북 인스턴스에 액세스하는 데 사용되는 모든 AWS Identity and Access Management 사용자, 그룹 또는 역할에 해당 정책을 추가합니다.

참고

이 정책으로는 인터페이스 엔드포인트를 생성한 서브넷의 호출자에만 연결할 수 있습니다.

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

인터페이스 엔드포인트를 사용하여 수행된 연결로만 노트북 인스턴스에 대한 액세스를 제한하려면 aws:SourceVpc:대신 aws:SourceVpce조건 키를 사용합니다.

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

두 정책 예제 모두 에 대한 인터페이스 엔드포인트도 생성했다고 가정합니다 SageMaker API. 자세한 내용은 SageMaker 내 에 연결 VPC 단원을 참조하십시오. 두 번째 예제에서 aws:SourceVpce에 대한 값 중 하나는 노트북 인스턴스에 대한 인터페이스 엔드포인트의 ID입니다. 다른 하나는 에 대한 인터페이스 엔드포인트의 ID입니다 SageMaker API.

여기의 정책 예제는 다음과 같습니다. 
 DescribeNotebookInstance, 일반적으로 를 호출DescribeNotebookInstance하여 가 NotebookInstanceStatus인 상태인지 확인한 InService 다음 연결을 시도하기 때문입니다. 예:

aws sagemaker describe-notebook-instance \
                    --notebook-instance-name myNotebookInstance
                    
                    
{
   "NotebookInstanceArn":
   "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
   "NotebookInstanceName": "myNotebookInstance",
   "NotebookInstanceStatus": "InService",
   "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
   "InstanceType": "ml.m4.xlarge",
   "RoleArn":
   "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
   "LastModifiedTime": 1540334777.501,
   "CreationTime": 1523050674.078,
   "DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
                
                
{
   "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
참고

생성된 presigned-notebook-instance-url, AuthorizedUrl는 인터넷의 어느 곳에서나 사용할 수 있습니다.

이러한 두 통화 모두에서 VPC 엔드포인트에 프라이빗 DNS 호스트 이름을 활성화하지 않았거나 2018년 8월 13일 이전에 릴리스된 버전의 AWS SDK 를 사용하는 경우 URL 해당 통화에 엔드포인트를 지정해야 합니다. 예를 들어 create-presigned-notebook-instance-url에 대한 호출은 다음과 같습니다.

aws sagemaker create-presigned-notebook-instance-url
    --notebook-instance-name myNotebookInstance --endpoint-url
    VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com